Cybersécurité des agences de voyages : un risque bien réel

Écrit par Sébastien Crucifix

Conseils pratiques à appliquer à votre agence

Chers membres,

Dans le cadre de sa mission d’information et d’accompagnement des agences de voyages, l’UPAV souhaite attirer votre attention sur l’évolution des risques liés aux fraudes numériques.

Si ces pratiques touchent aujourd’hui tous les secteurs, le voyage reste une cible particulièrement attractive en raison de l’accès à des systèmes de réservation, de données clients sensibles et de flux de paiement, ainsi que des échanges fréquents avec de nombreux partenaires.


Les scénarios de fraude sont désormais plus crédibles, contextualisés et souvent multicanaux. Ils visent à s’intégrer dans le flux de travail habituel afin de provoquer une réaction rapide.

Dans ce contexte, il nous paraît essentiel de rappeler les principaux risques observés, les réflexes à adopter au quotidien et les ressources disponibles pour sécuriser vos pratiques.

Situations fréquemment rencontrées

Les cas observés prennent notamment les formes suivantes :

  • Usurpation d’identité et fraude au paiement, incluant l’utilisation de cartes de crédit de tiers ou des incohérences entre l’identité du client et le moyen de paiement

  • Compromission d’outils professionnels, via l’accès frauduleux à des boîtes mail, plateformes de réservation ou la prise de contrôle à distance d’un poste de travail, permettant des réservations abusives et la revente de billets

  • Phishing ciblé et scénarios crédibles, imitant des confirmations de réservation, devis ou communications se présentant comme émanant d’administrations officielles

  • Tentatives de fraude multicanal, via des appels téléphoniques ou messageries instantanées venant appuyer un scénario déjà initié

Ces approches exploitent la routine, la confiance et la pression opérationnelle, et testent la vigilance des équipes au quotidien.

Les réflexes essentiels à adopter

La majorité des tentatives de fraude peuvent être identifiées grâce à des réflexes simples et structurés. 

L’UPAV recommande de renforcer systématiquement les bonnes pratiques suivantes :

  • Vérifier la cohérence entre l’identité du client et le moyen de paiement utilisé, en particulier la correspondance entre la carte de crédit, le nom du titulaire et les documents fournis

  • Porter une attention particulière aux demandes familières dans leur forme mais incohérentes dans leur contexte, leur timing ou leur canal. Lorsqu’un message semble inhabituel, ce signal mérite toujours une vérification avant toute action

  • Prendre le temps de vérifier avant d’agir, l’urgence faisant souvent partie des scénarios frauduleux

  • Sensibiliser l’ensemble de l’équipe aux techniques de phishing et de fraude multicanale

Contrôles techniques simples et déterminants

  • Activer systématiquement la double authentification sur tous les outils sensibles qui le permettent à la connexion (Suite bureautique, mail, calendrier, contacts, crm, système de réservations, etc.) 

  • Vérifier systématiquement le nom de domaine de l’expéditeur et s’assurer qu’il correspond exactement au domaine officiel du fournisseur, y compris l’extension (.com, .be, etc.). Dans Outlook, utiliser l’option Détails afin d’afficher l’adresse complète, le nom affiché pouvant être trompeur

  • Vérifier que les liens et plateformes utilisent bien un protocole sécurisé https, privilégier l’accès aux outils via des favoris enregistrés ou une saisie manuelle de l’adresse plutôt que via un lien reçu

  • Utiliser les fonctions de vérification avancée des messageries, notamment l’affichage des détails complets de l’expéditeur

  • Conserver les mots de passe uniquement via des solutions sécurisées et éviter toute note manuscrite ou fichier local non protégé

  • Petite astuce complémentaire, avant de cliquer sur un lien suspect, regardez en bas à gauche dans votre navigateur, il montre déjà l'URL qui se cache derrière le lien ! 

En cas d’incident avéré ou de suspicion sérieuse

Si, malgré ces précautions, vous avez subi une escroquerie ou suspectez une compromission de votre poste ou de vos comptes, agissez rapidement :

  • Éteignez immédiatement le poste concerné

  • Prévenez vos collègues directes 

  • Contactez sans délai votre prestataire ou fournisseur IT

  • Déconnectez et sécurisez l’ensemble de vos comptes et outils professionnels

  • Identifiez les éventuels dommages, réservations ou opérations impactées, puis annulez-les manuellement en contactant directement les fournisseurs concernés

  • Prévenez l’UPAV afin que nous puissions vous accompagner dans les démarches

  • Déposez plainte auprès d’un commissariat de police, cette étape permet de formaliser la situation et contribue à une gouvernance responsable vis-à-vis des autres victimes potentielles

  • Déclarez également l’incident sur la plateforme officielle
    https://safeonweb.be 

Ressources publiques utiles. À utiliser sans hésiter

Des outils gratuits, concrets et immédiatement utilisables existent pour accompagner les entreprises belges en matière de cybersécurité. Cette aide est disponible, accessible à toutes les agences et particulièrement précieuse.

Le SPF Économie propose un cyberscan gratuit, accompagné de recommandations personnalisées, afin d’évaluer rapidement le niveau de sécurité de votre entreprise et d’identifier des améliorations pragmatiques.
https://economie.fgov.be/fr/themes/line/securite-de-linformation/cybersecurite-et-pme

La plateforme Safeonweb At Work centralise également l’ensemble des outils, bonnes pratiques et ressources développés par les autorités belges pour renforcer la cybersécurité des entreprises.
https://atwork.safeonweb.be/fr/tools-resources/cybersecurite-en-belgique

L’UPAV à vos côtés

Sur ces sujets, l’UPAV se positionne comme un point d’appui concret et opérationnel. En cas de doute, envoyez-nous simplement un screenshot ou l’élément concerné. Nous analyserons la situation avec vous et vous orienterons sur la bonne marche à suivre.

Parallèlement, l’UPAV a décidé de développer des formations complémentaires dédiées à la cybersécurité, en collaboration avec la Belgian Travel Academy, afin de proposer des contenus pratiques, directement applicables dans vos équipes. Nous vous tenons informés lorsqu'elles seront disponibles. 

En cybersécurité, mieux vaut un doute de trop qu’un incident de trop.

Un clic réfléchi ou une vérification rapide évitent souvent bien des complications.

Plus que jamais, la vigilance fait désormais partie intégrante de notre métier.


A votre service, 

L’équipe UPAV,

Sébastien Crucifix
Précédent

Licence bruxelloise. L’UPAV maintient la pression